È dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» che nel Regolamento prende il nome di “interessato” del trattamento.
Il Regolamento si occupa solo di dati relativi a persone fisiche e non anche delle persone giuridiche.
Il concetto di dato personale è molto ampio e riguarda qualsiasi informazione che sia in qualche modo collegabile ad una persona fisica. Quest’ultima può essere identificata attraverso il nome o in altro modo, ad esempio attraverso una foto.
Sono dati personali anche quelle informazioni che possono consentire di identificare una persona in via indiretta, ad esempio un numero di telefono, una targa automobilistica, un codice fiscale.
Sono soggetti al Regolamento anche i dati “pseudonimizzati”, ovvero quei dati resi anonimi ma per i quali vi è la ragionevole probabilità che possano essere ricollegati ad una persona fisica utilizzando altre informazioni, tenuto conto dei costi e del tempo necessario per risalirvi.
Per il trattamento di dati di massa (c.d. big data) si può ricorrere alla pseudonimizzazione in modo da poterli trattare in forma anonima per dati statistici o per ricerche scientifiche, ma sono soggetti comunque all’applicazione del Regolamento.
In particolare per il trattamento di queste masse di dati sono richieste cautele particolari, ad esempio i codici che consentono di risalire alla persona “anonimizzata” (c.d. singling out) devono essere conservati in sede separata e protetti con particolari accorgimenti tecnici.
Gli unici dati che non sono trattati dal Regolamento sono i dati anonimi, ovvero quelli che non possono essere ricollegati in modo irreversibile ad una persona fisica.
I dati personali possono essere generici o sensibili e per questi ultimi è previsto un trattamento particolare.
I dati sensibili sono quelli che si rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale.
Tutte le altre informazioni relative ad una persona fisica identificata o identificabile sono dati generici.
Le informazioni relative alla situazione economica di una persona sono dati generici e non sensibili.
Un trattamento particolare hanno poi i dati giudiziari relativi alle condanne penali.